Один из распространенных вопросов о групповых политиках, который часто всплывает на специализированных форумах и в дискуссиях системных администраторов: каким образом можно исключить пользователя и/или компьютер от применения настроек групповой политики (Group Policy). Существует несколько способов, позволяющих запретить применение политики к конкретному объекту домена Active Directory,однако для себя я выбрал и использую лишь одну методику. В принципе это достаточно простая процедура, но следует отметить, что нужно пользоваться ей внимательно, предпочтительнее через членство в группе (вы включаете в группу AD тех пользователей и компьютеры, к которым не должна применяться политика).
1. Откройте консоль управления политиками (Group Policy Management Console — gpmc.msc) и найдите в ней ту политику, в которой вы хотите сделать исключения, перейдите на вкладку делегирования (“Delegation”) и нажмите кнопку “Advanced”.
2. Нажмите кнопку “Add” и выберите группу (рекомендуется использовать именно группу, а не конкретного пользователя или компьютер), которую вы хотите исключить из-под действия групповой политики.
3. В данном примере я исключу группу “Users GPO Exceptions”. Укажите имя группы и в разделе разрешений для “Apply Group Policy” укажите “Deny”.
Теперь к членам группы “User GPO Exceptions” перестанет применяться групповая политика. Использование группы безопасности для контроля исключений из групповой политики – является оптимальным решением, ведь чтобы заблокировать применение политики, нужно просто добавить нужного пользователя или компьютер в группу. Кроме того, это удобно для служб техподдержки, которые самостоятельно могут диагностировать работу исключений из групповой политики, просто просмотрев состав этой группы.
Не работает. Точнее работает, но если применять для отдельного пользователя или компьютер, а вот для группы исключение не работает.
Аналогичная проблема.
При назначении на группу не работает, хотя в моделировании применения GPO пишет, что политика не накатывается.
Попробуйте еще поставить запрет на чтение политики в Security: Read -> Deny.
Политика должна применяться для пользователей или ПК? Возможно вы пытаетесь запретить применяться пользовательской политике для компьютеров или наоборот.
Я вот заметил, что все работает. Но странным образом не после gpupdate /force. А именно после перезагрузки PC.
Интересная штука случилась. Всю жизнь ставил галочку запрета только на чтение и всё работало. Но после обновлений вышедших 14.06.16 с удивлением обнаружил, что политика стала накатываться. Поставил запрет на полный доступ и всё сработало — политика снова не накатывается.
Для информации.
если надо чтобы никакая политика не накатывалась создаем группу без политики и ставим «запретить наследование».
Может подскажите с моей проблемой. В домене есть группа пользователей. Один из пользователей этой группы работает на двух компьютерах. Для них необходимо чтобы выполнялась одна из политик, причем для пользователя который работает на двух компьютерах, необходимо чтобы на одном из компьютеров эта политика не выполнялась.
Указал в делегировании политики, всем пользователям домена — чтение, компьютерам домена — чтение, группе пользователей — чтение и выполнение, указанному компьютеру — чтение и запрет выполнения. Но на этом компьютере политика все-равно выполняется.
Куда прилинкована политика к OU с пользователями или компьютерами? Настройки политики из Computers или Users секции GPO?
Извините за долгое отсутствие.
Политика прилинкована ко всему домену, правила задаются для секции пользователя, задается выполнение логон скрипта.
P.s. пробовал выставлять для этой политики «Режим обработки замыкания пользовательской групповой политики» в «Слияние», но эффект тот же. В GPResult для компьютера идет «Фильтрация: Отказано (безопасность)», а для пользователя попадает в «Примененные объекты групповой политики». Т.е. политика все равно выполняется.
Сейчас пока решил эту проблему с помощью фильтра WMI, но возможно это можно решить другим способом.
Как исключить из политики определенный OU ?
Нормального решения нет: можно включить блокировку наследования политик на OU и назначить нужные политики вручную. Либо не вешать политики на корень домена, а на конкретные OU с объектами. Либо поднять изменить иерархию OU, убрав ее из-под действия слинкованной политики
Здравствуйте.
Подскажите пожалуйста.
Создал групповую политику для пользователей.
Сделал группу с белым списком пользователей которых не должно касаться.
Добавил данную группу в безопасность — выставил данной группе запрет на применение политики.
Добавил OU на которую должна применяться политика, и политика применилась, но применилась на всех пользователей OU даже на тех кто находится в белой группе.
Подскажите, почему так?
Это сработает только для настроек в секции user configuration. У вас видимо применились настройки из раздела GPO Computer Configuration
Так в том и дело, что политика моя применяется на User Configuration!
Я имею понимание , что ПК Конфигурашион применяется в ПК, а User Conf применяется к пользователям.
По идее вы все правильно сделали. В целевом OU ведь только пользователи? а не компьютеры и Loopback processing соотвественно не включен.
A Read при этом как ставить: Allow, Deny или оба чекбокса пустые?
У deny всегда приоритет
Добрый день, а запрет примениться только в этой политике? Объясню ситуацию имеется 8 отделов, все компьютеры находятся в одной OU, но каждый компьютер находится в определенной группе безопасности в зависимости от отдела. Эти группы отвечают за удаленное подключение из дома. Нужно установить программу только в одном отделе, остальные хочу добавить в исключения политики как в статье. Вопрос не заблокируется доступ к удаленке, если на не нужные группы в политике сделать Deny — Full Control, чтоб наверняка политика не применилась?
Если создать отдельную GPO только под установку программ и запретить в ней некоторые группы, это не повлияет на другие политики и права.